Docker、ソフトウェアサプライチェーン管理支援サービス「Docker Scout」を正式リリース：コンテナイメージを分析、脆弱性を特定、修正方法を提案

Dockerは、安全なソフトウェアサプライチェーンの構築、維持を支援するサービス「Docker Scout」の一般提供を開始した。

[＠IT]

　Dockerは2023年10月4日（米国時間）、開発者やセキュリティチームの安全なソフトウェアサプライチェーン構築、維持を支援するサービス「Docker Scout」の一般提供を開始したと発表した。

　コンテナイメージは多くの場合、他のコンテナイメージやソフトウェアパッケージのレイヤーから構築されているが、これらには脆弱（ぜいじゃく）性が含まれている可能性がある。

　Docker Scoutはイメージを分析し、検出したパッケージやレイヤーの完全なインベントリとして、「SBOM」（Software Bill of Materials：ソフトウェア部品表）を作成する。

　その一方で、信頼できる多数のソース（広く使われているパッケージリポジトリやセキュリティデータベースなど）から、継続的に脆弱性データを取り込み、照合、整理して脆弱性データベースを作成、維持している。

　Docker Scoutは、作成したSBOMとこの脆弱性データベースを関連付け、イメージ内の脆弱性を特定し、コンテキストに応じて、その修正方法を提案する。

　Docker Scoutは、Docker Desktop、Docker Hub、Docker CLI、Docker Scout Dashboardで使用できる。後で述べるように、サードパーティーシステムとの統合もサポートしている。

イメージ分析

コンテナイメージの分析結果をチームで共有するのに役立つDocker Scout Dashboard（提供：Docker）

　Docker Scout Dashboardでは、Docker HubとArtifactory両方の全てのイメージについて、セキュリティステータスの概要を見ることができる。どの脆弱性や問題に注力すべきかを知ることができ、修正方法のアドバイスも得られる。

　また、Docker Desktop内やDocker Hubのイメージタグページから、イメージの詳細ビューにアクセスすることもできる。

　さらに、リポジトリに対してイメージ分析を有効にすると、Docker Scoutは、ユーザーがそのリポジトリに新しいイメージをプッシュする際に、自動的にイメージ分析を行う。分析結果は継続的に再評価される。

　Docker Scoutのイメージ分析は、Docker Hubリポジトリで既定で利用できる。「Amazon ECR」（Elastic Container Registry）や「JFrog Artifactory」のようなサードパーティーのレジストリを統合したり、開発マシンでローカルにイメージ分析を実行したりすることも可能だ。

ポリシー評価機能（早期アクセス段階）

　ソフトウェアサプライチェーン管理では、成果物のセキュリティと信頼性の維持が最優先事項となる。Docker Scoutのポリシー評価機能（早期アクセス段階）は、既存の分析機能の上に制御のレイヤーを導入する。これにより、成果物のサプライチェーンルールを定義し、ルールやしきい値に対する成果物のパフォーマンスを長期的に追跡できる。

Docker Scoutと他のシステムの統合

　既定では、Docker ScoutはユーザーのDocker組織やDocker Hub上のDocker Scout対応リポジトリと統合されている。Docker Scoutを追加のサードパーティーシステムと統合すれば、実行中のワークロードに関するリアルタイム情報など、より多くの洞察にアクセスできるようになる。

　Docker Scoutが現在サポートしているサードパーティーのレジストリやCI/CD（継続的インティグレーション／継続的デリバリー）システムなどは以下の通り。

• コンテナレジストリ：JFrog Artifactory、Amazon ECR
• CI/CDシステム：GitHub Actions、Gitlab、Jenkins、Microsoft ADO（Azure DevOps）、Circle CI
• ランタイムモニタリング：Sysdig

料金プラン

　Docker Scoutは、利用規模などによってScout Free（無料）、Scout Team（年間契約でリポジトリ当たり月額9ドル、月契約で同12ドル）、Scout Business（料金は問い合わせ）の3つの料金プランが用意されている。